Экономика темной стороны

В 2025 году ransomware-индустрия оказалась фрагментированной: после разгрома крупнейших группировок LockBit и BlackCat/ALPHV правоохранителями им на смену пришли 85 небольших активных групп. Киберпреступность окончательно оформилась в сервисную индустрию с франшизами, брокерами доступа и профессиональными переговорщиками.

Выйти из полноэкранного режима

Развернуть на весь экран

Самый дорогой инцидент прошлого года случился в апреле и пришелся он на долю британской сети Marks & Spencer. Группировка Scattered Spider с использованием шифровальщика DragonForce парализовала работу ритейлера на несколько недель, нанеся ущерб в 300 млн. Атака стала частью кампании против британской розницы, затронувшей также Co-op и Harrods. Здравоохранение пострадало не менее катастрофически: взлом Yale New Haven Health System в марте раскрыл данные 5,56 млн человек, атака на образовательную платформу PowerSchool привела к утечке записей о 62 млн учеников при подтвержденном выкупе $2,85 млн.

Еще одним переломным событием года стал крах группировки RansomHub 31 марта. Инфраструктура самой продуктивной группировки, которая взяла на себя ответственность за 534 атаки только в 2024 году, внезапно отключилась. Причины остаются неясными: внутренний конфликт, бегство операторов с деньгами партнеров или поглощение конкурентом DragonForce. Партнеры разбежались по экосистеме, в выигрыше оказался Qilin: число публикаций на его сайте утечек удвоилось, на счету группы 1044 жертвы в 2025 году против 154 в 2024.

Ransomware-as-a-Service превратился в зрелую бизнес-модель, напоминающую легальный франчайзинг. Операторы создают вредоносное ПО, строят инфраструктуру переговоров и сайты утечек, обеспечивают техподдержку уровня коммерческого SaaS. Партнеры-исполнители выступают независимыми подрядчиками, арендующими инструменты для проведения атак. Стандартное распределение выручки: 70-80% исполнителю, 20-30% оператору. Конкуренция за кадры улучшает условия: RansomHub предлагал 90/10, Qilin дает до 85% при выкупах свыше $3 млн. DragonForce запустил картельную модель: партнеры могут работать под собственным брендом на общей инфраструктуре, отдавая картелю лишь 20%.

Входные барьеры различаются. Русскоязычные группировки проводят культурный отбор: вопросы по истории России, СССР, СНГ, народные знания, которые невозможно найти в интернете, прямой запрет на носителей английского языка. Финансовые требования включают депозиты в биткоинах, например, LockBit требует около $500. Операторы предоставляют готовые шифровальщики для Windows, Linux и ESXi, партнерские панели с аналитикой заражений. Qilin даже предлагает функцию вызова юриста и содержит штат «журналистов» для работы с общественным мнением вокруг атак.

Ключевым звеном стали брокеры первоначального доступа. Они специализируются на взломе корпоративных сетей и продаже готовых плацдармов исполнителям атак. Разделение труда ускоряет процесс: жертвы появляются на сайтах утечек через 23-36 дней после выставления доступа на продажу. Основные методы: эксплуатация RDP (удаленного рабочего стола, 55% предложений), VPN-уязвимости (33%), кража учетных данных через вредоносное ПО. Медианная цена доступа упала до $500-1000, премиальный доступ стоит от $10 тыс. Торговля ведется на форумах Exploit.in, XSS и RAMP.

Переговоры о выкупе начинаются в течение нескольких часов после кражи данных. Атакующие оставляют записки с адресами Tor-порталов, где представители «службы поддержки» подчеркнуто вежливы. На выплату отводят 7-30 дней. Профессиональные переговорные фирмы стали ключевыми посредниками: Coveware ведет базы данных по группировкам, GroupSense сообщает о 100% успехе в снижении сумм минимум на 10%, GuidePoint Security достигала снижения более чем на 85%. По данным Forrester, 69% компаний с киберстраховкой обязаны использовать назначенных страховщиком подрядчиков.

Доля платящих упала с 85% в 2019 году до 23% в третьем квартале 2025-го. Причины: более качественное резервное копирование, понимание того, что оплата не гарантирует восстановления (21% заплативших так и не получили данные), высокий риск повторных атак (78% заплативших подвергаются им снова). Компании научились восстанавливаться: 53% возвращаются к работе за неделю, 16% — за день.

Правоохранители нанесли серию ударов. Operation Endgame стала крупнейшей координированной операцией: майская фаза принесла 300 серверов и €3,5 млн в криптовалюте, ноябрьская добавила еще 1025 серверов. В июле были задержаны четыре участника Scattered Spider в Великобритании. 7 мая неизвестные взломали панели LockBit, слив базу с 62,4 тыс. биткоин-адресами и 75 логинами партнеров с паролями в открытом виде.

Среди новых тактик выделяется регуляторное вымогательство: группировка Anubis угрожает жертвам жалобами в надзорные органы по защите данных. GLOBAL GROUP использует ИИ-чатботы для переговоров.

22 июля министр безопасности Великобритании Дэн Джарвис объявил о законодательных мерах: полный запрет выплат для госсектора и критической инфраструктуры, обязательное уведомление властей за 72 часа до любой выплаты для частного сектора, обязательное сообщение обо всех инцидентах. В случае принятии закона Великобритания станет первой страной с запретом ransomware-выплат для госсектора. Устойчивость к атакам, а не выплата выкупа, стала главной защитой: компании, способные быстро восстановиться, лишают вымогателей основного рычага давления.

Корней Тимофеев